Avec plus de 30 000 inscrits pour sa 2e édition de BIG 2016, Bpifrance a réuni start-ups, ETI, grands comptes et entrepreneurs.

L'Image du jour

Avec plus de 30 000 inscrits pour sa 2e édition de BIG 2016, Bpifrance a réuni start-ups, ETI, grands comptes et entrepreneurs.

Cybersécurité : quels outils pour contrer les nouvelles menaces

Dernier Dossier

Cybersécurité : quels outils pour contrer les nouvelles menaces

Les événements récents autour du ransomware Locky et du vol massif de données du cabinet panaméen Mossack Fonseca dans l'affaire des « Panama Papers »...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

Des campagnes de malvertising de plus en plus difficiles à détecter

Sous le titre d'Operation Fingerprint, la société de recherche en sécurité Malwarebyte a publié une synthèse de ses observations sur le kit d'exploitation de faille Angler utilisé dans des campagnes de malvertising. (crédit : Malwarebytes)

Sous le titre d'Operation Fingerprint, la société de recherche en sécurité Malwarebyte a publié une synthèse de ses observations sur le kit d'exploitation de faille Angler utilisé dans des campagnes de malvertising. (crédit : Malwarebytes)

Même pour les chercheurs en sécurité, les techniques de malvertising utilisées par les attaquants sont devenues difficiles à étudier.

Un chercheur en sécurité de Malwarebytes a récemment été déconcerté par la cyberattaque qu'il était en train d’étudier. Il ne pouvait pas la tracer depuis l’ordinateur du laboratoire. Jérôme Segura étudie souvent les publicités malveillantes. Celles-ci sont introduites sur les réseaux publicitaires légitimes afin d'apparaitre sur des sites web et peuvent infecter l’ordinateur d’un visiteur avec un malware. Ce type d'attaque est particulièrement insidieux, car il suffit que le visiteur affiche la publicité pour que son ordinateur, s’il présente une vulnérabilité logicielle, soit infecté. « Nous savions qu'il se passait quelque chose de différent », a expliqué Jérôme Segura dans un entretien téléphonique avec IDG News Service. Le problème c’est qu'ils n’ont pas pu répliquer l'attaque en regardant la publicité malveillante. C’est comme si les assaillants savaient qu'ils étaient surveillés.

Les cyberattaquants profilent souvent des machines – un processus connu sous le nom de « fingerprinting » - pour attaquer les systèmes utilisés par les chercheurs en sécurité. Les ordinateurs qui ont certaines adresses IP ou utilisent des réseaux VPN, ou bien les serveurs qui font tourner des machines virtuelles ne seront pas ciblés. Pour parvenir à étudier l’attaque, Jérôme Segura est rentré chez lui et a utilisé son ordinateur personnel et non celui du laboratoire de Malwarebytes. La publicité suspecte contenait une image GIF de un pixel par un pixel. C’est inhabituel, car en général, les pixels sont utilisés à des fins de suivi. Mais l’image contenait en fait du code JavaScript exploitant une vulnérabilité se trouvant dans d’anciennes versions non corrigées du navigateur Internet Explorer, a expliqué le chercheur. Cette faille (CVE-2013-7331) peut être mise à profit pour examiner le système de fichiers d’un ordinateur afin de vérifier la présence de programmes anti-virus. Selon le cas, l’utilisateur est redirigé par la publicité vers un serveur exécutant le kit d’exploit Angler.

De faux domaines et profils LinkedIn mis en place à l'avance

Une reconnaissance rapide des victimes potentielles n’est pas inhabituelle chez les attaquants. Mais le chercheur dit que cette fois-ci, ils ont pris d'autres mesures qui rendent très difficile la détection des mauvais comportements par les réseaux publicitaires et les chercheurs en sécurité. De plus, la publicité malveillante, y compris celle d’un pixel par un pixel, a été délivrée au-dessus du protocole SSL/TLS, ce qui complique un peu plus la détection d’un comportement potentiellement malveillant. La publicité indélicate a été acheminée par DoubleClick de Google et par des dizaines d'autres réseaux publicitaires.

Il semble que les assaillants avaient mis en place de faux domaines et même de faux profils LinkedIn plusieurs mois auparavant pour paraître légitimes avant de livrer leur publicité aux régies publicitaires en ligne. « On voit à quel point ils peuvent tromper leur monde et on imagine le nombre de faux annonceurs qui peuvent opérer », souligne Jérôme Segura. Il a pris contact avec DoubleClick et d'autres régies publicitaires en ligne, mais la publicité malveillante continue à s’afficher à certains endroits. « L’automatisation de la publicité en ligne et le dédale des entreprises du secteur rend difficile le filtrage des publicités malveillantes », explique-t-il. « Les criminels ont compris qu'il était plus facile d'infiltrer un partenaire tiers qui travaille avec Google, mais qui n'a pas nécessairement lemême niveau de contrôle de la sécurité et des procédures aussi strictes ». Malwarebytes a publié une synthèse de ses recherches accessible sur son blog.

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité